來源:中國網(wǎng)
產(chǎn)業(yè)互聯(lián)網(wǎng)時代,得益于云計算架構(gòu)的設(shè)計簡單、性價比高、系統(tǒng)靈活等優(yōu)勢,業(yè)務(wù)上云成為許多企業(yè)的選擇。隨著算力、IT架構(gòu)、攻防節(jié)奏、以及數(shù)據(jù)資產(chǎn)的不斷變化,云上安全也迎來了新的挑戰(zhàn),安全攻防的主戰(zhàn)場轉(zhuǎn)而上云。
近日,騰訊安全威脅情報中心根據(jù)騰訊云租戶過去一年提交的各類安全事件工單進(jìn)行統(tǒng)計分析整理出《2020年公有云安全報告》(以下簡稱《報告》),騰訊安全中心專家團(tuán)隊對這些安全事件工單進(jìn)行整理分析總結(jié)出2020年公有云的攻擊特點,重點分析了惡意木馬、云上勒索、異常登錄、爆破攻擊、漏洞風(fēng)險、安全基線風(fēng)險、高危命令執(zhí)行、針對公有云的網(wǎng)絡(luò)攻擊等主流安全風(fēng)險,其中多數(shù)風(fēng)險數(shù)據(jù)呈增長態(tài)勢。《報告》針對超2.5億次異常登錄、99%高中危漏洞風(fēng)險等安全風(fēng)險,建議企業(yè)綜合部署云上安全產(chǎn)品應(yīng)對云計算時代的安全挑戰(zhàn)。
惡意木馬事件明顯上升,27%已發(fā)現(xiàn)木馬未被及時處理
云上惡意木馬事件在下半年呈現(xiàn)上升趨勢,《報告》數(shù)據(jù)顯示有6.3%的公司曾在一個月內(nèi)發(fā)現(xiàn)惡意木馬事件,其中感染型木馬、DDoS攻擊木馬和后門木馬為主要木馬類型,挖礦木馬是最為流行的安全事件之一。在發(fā)現(xiàn)的惡意木馬中,有27%未被及時處理,甚至有1%被信任,騰訊安全建議企業(yè)不要輕易將惡意木馬添加至信任區(qū),并及時查殺發(fā)現(xiàn)的惡意木馬防止進(jìn)一步擴(kuò)散。
數(shù)據(jù)庫鎖庫勒索和勒索病毒加密流行,云上勒索病毒需重點防范
云上攻擊事件中,勒索病毒攻擊依然流行,主要為數(shù)據(jù)庫鎖庫勒索和勒索病毒加密兩類。勒索病毒會通過加密主機(jī)上的數(shù)據(jù)文件來勒索巨額贖金,得益于業(yè)務(wù)上云之后可選擇相對完善的數(shù)據(jù)備份方案,針對公有云的勒索軟件攻擊相對不易得逞。盡管黑灰產(chǎn)業(yè)針對云上資產(chǎn)的勒索時有發(fā)生,但其危害不如針對企業(yè)私有網(wǎng)絡(luò)的攻擊,騰訊安全團(tuán)隊仍建議業(yè)務(wù)上云的政企機(jī)構(gòu)重點防范勒索威脅,定期備份重要數(shù)據(jù)防止丟失和被勒索。
異常登錄行為顯著上升,22端口被爆破次數(shù)超2.5億
騰訊安全團(tuán)隊觀察到云上主機(jī)異常登錄事件呈明顯上升趨勢,其中遠(yuǎn)程登錄服務(wù)默認(rèn)端口22在2020年被爆破超過2.5億次,root、work、game、administrator等常見或默認(rèn)的用戶名異常登錄次數(shù)超千萬次。這提醒企業(yè)安全運維人員需高度重視異常登錄事件,只將可信的登錄源添加至白名單,注意防范運維系統(tǒng)本身遭遇黑客攻擊,防止運維管理帳號密碼泄露引發(fā)異常登陸行為。
爆破攻擊全年明顯上升,默認(rèn)用戶名攻擊次數(shù)達(dá)70億
爆破攻擊全年明顯上升,在攻擊端口上,默認(rèn)端口22和3389被爆破攻擊達(dá)到驚人的32億次和17億次;在用戶名上,默認(rèn)用戶名攻擊達(dá)到70億次,其中root超37億次、administrator近33億次。騰訊安全建議業(yè)務(wù)系統(tǒng)使用自定義的端口號和用戶名,同時避免使用弱密碼,以大幅減少爆破攻擊風(fēng)險。
漏洞風(fēng)險利用持續(xù)增加,高中危風(fēng)險占99%
近年來組件漏洞的披露越來越頻繁,僅2020年12月漏洞風(fēng)險就超1000000,而54%的企業(yè)在3天內(nèi)發(fā)現(xiàn)過漏洞風(fēng)險,意味著較多企業(yè)服務(wù)組件存在安全漏洞風(fēng)險沒有及時修復(fù)。在統(tǒng)計的漏洞風(fēng)險中,拒絕服務(wù)漏洞、遠(yuǎn)程代碼執(zhí)行和任意文件讀取漏洞為主要的漏洞風(fēng)險,其中中危占54%,高危占45%。《報告》建議安全運維人員積極修復(fù)安全漏洞,避免云上資產(chǎn)淪為黑客攻擊目標(biāo)。
安全基線風(fēng)險日益凸顯,83%云上業(yè)務(wù)存在高中危風(fēng)險
安全基線檢測數(shù)據(jù)顯示,云上資產(chǎn)安全現(xiàn)狀不容樂觀,11月發(fā)現(xiàn)的安全基線問題超過了700萬條,政企機(jī)構(gòu)云上業(yè)務(wù)存在高中危以上風(fēng)險的達(dá)到83%,主要為Linux口令過期后賬號最長有效天數(shù)策略、Linux帳戶超時自動登出配置和限制root權(quán)限用戶遠(yuǎn)程登錄。安全基線檢測能有效提高入侵門檻,容易被安全運維人員忽略而成為黑客利用的漏洞,需要嚴(yán)格按照安全規(guī)范配置,符合國家等保合規(guī)要求。
高危命令執(zhí)行增加黑客入侵可能,單項執(zhí)行超25萬次
高危命令有可能是黑客入侵之后執(zhí)行的命令,以企圖控制主機(jī)甚至破壞系統(tǒng),也有可能是運維人員在日常操作時候執(zhí)行的風(fēng)險命令。數(shù)據(jù)顯示2020年主要的高危命令有設(shè)置操作命令不記錄進(jìn)日志、nc命令執(zhí)行和wget下載后執(zhí)行命令等,其中設(shè)置操作命令不記錄進(jìn)日志超過了250000次。即使高危命令并非攻擊者執(zhí)行,但過于頻繁執(zhí)行高危命令,意味著可能存在安全管理疏忽大意、權(quán)限管理不夠嚴(yán)謹(jǐn)?shù)蕊L(fēng)險,需要企業(yè)IT負(fù)責(zé)人警惕。
網(wǎng)絡(luò)攻擊事件整體上升,10月峰值達(dá)180萬次
2020年網(wǎng)絡(luò)攻擊事件整體呈上升趨勢,10月達(dá)到峰值180萬次,主要類型命令注入攻擊全年超過170萬次。以往APT定向攻擊往往針對國家重點單位進(jìn)行攻擊,如今多個行業(yè)均出現(xiàn)了APT攻擊的身影。對于入侵成功的攻擊,企業(yè)需要及時進(jìn)行阻斷,防止企業(yè)重要IT資產(chǎn)淪陷。
安全建議:綜合部署云上安全產(chǎn)品
面對快速增長的云上安全需求,騰訊安全依托20余年安全領(lǐng)域積累,圍繞安全治理、數(shù)據(jù)安全、應(yīng)用安全、計算安全和網(wǎng)絡(luò)安全五個層面打造了云原生安全防護(hù)體系,并開放“騰訊級”安全能力,為政務(wù)、金融、直播、電商等十八大行業(yè)的云上客戶提供安全保障。
針對日趨復(fù)雜的公有云安全威脅,企業(yè)需要綜合部署云上安全產(chǎn)品,《報告》從主機(jī)安全、重點服務(wù)器的保護(hù)、權(quán)限管控3個維度提出安全建議:全網(wǎng)安裝部署終端安全管理軟件和主機(jī)安全軟件;對重要的網(wǎng)絡(luò)服務(wù)進(jìn)行遠(yuǎn)程訪問策略配置、對管理節(jié)點進(jìn)行限制,只限定允許的IP地址訪問管理后臺,并在企業(yè)內(nèi)網(wǎng)向公有云的“橫向移動”過程中強(qiáng)化權(quán)限管控。企業(yè)用戶可以使用騰訊T-Sec云防火墻部署云主機(jī)訪問控制策略,通過騰訊T-Sec云防火墻、騰訊T-Sec主機(jī)安全系統(tǒng)及時檢測、分析、處置各種異常安全告警信息,對網(wǎng)絡(luò)安全弱點進(jìn)行重點修復(fù),將安全風(fēng)險降到最低。
